Muchas gracias, Thetiel, por la rapidez y la amplitud de la respuesta.

Te comento:

1) En mi caso, el VPN lo tengo en un NAS Synology en casa. En el mismo segmento LAN tengo el router. Esto es, el cliente L2TP/IPSec es externo (desde fuera de casa quiero entrar en casa)

2) El tema de que el firmware B23 tiene habilitado el checkbox de uPnP, pero no funciona, lo vi buscando en internet, que me redirigieron a estos foros (el segundo enlace lo explica mejor). Por ejemplo:

http://comunidad.movistar.es/t5/Soporte-T%C3%A9cnico-de-Fibra-%C3%93ptica/PROBLEMA-UPNP-Y-NAT-ROUTER...

http://comunidad.movistar.es/t5/Soporte-T%C3%A9cnico-de-Fibra-%C3%93ptica/Activar-UPnP-y-NAT-PMP-en-...

3) SIguiendo tu indicación, he buscando por IPSec en la copia de seguridad de la configuración del router. Encuentro cosas que nunca vi en el cliente web, 

- Mis 3 puertos configurados

- Una configuración colgando del ALG

<ALGSwitch> <Entry FTPSW="on" SIPSW="off" H323SW="on" RTSPSW="on"
L2TPSW="on" IPSECSW="on" /></ALGSwitch>

- Una entrada dentro de la etiqueta GUI que dice "0"

<Entry2 WMM="1" Supervisor="1" EmailForLog="1" WDS="1"
Isolation="1" GameList="1" Smbd="1" 8021x="1" Schedule="1"
PORT_TRANSLATION="1" SSH="1" IPSecVPN="0" WPS="1" WEBPAGE_LOGIN="1"
REMOTE_FTP_SERVRE="0" ShowFtpSrvInfo="0" EIRCOM_SKIN="0" Eircom_Login="0"
TR069Client="0" QOS_WME="1" LOGIN_WLAN="0" />

- Una entrada específica de IPSec, donde NATTraversalActive está a 0. ¿Este router puede ser servidor VPN - tenía entendido que no?

<IPSec> <Common VPNNum="20" />
<Entry0 Active="No" NATTraversalActive="0" TunnelName=""
Mode="Site-to-Site" LocalAddressType="Subnet"
LocalIPAddressStart="0.0.0.0" LocalSubnetMask=""
RemoteAddressType="Subnet" RemoteIPAddressStart="0.0.0.0"
RemoteSubnetMask="" WANInterface="" MyIPAddress="0.0.0.0" PeerGateway=""
LocalIDType="IP" LocalID="" RemoteIDType="IP" RemoteID=""
AuthenticationType="PreShareKey"
PSK="_encrypted_414553000025D06AC26B27518E32F6258430604A18C5776C74D75D6D6E7447321F10FAEAA446415044EF3762851F2F796D1E24BFEA"
LocalCertificate="" RemoteCertificate="" IKEMode="Main"
EncryptionAlgorithm1="3DES" AuthenticationAlgorithm1="SHA1" DH1="Group1"
SALifeTime1="86400" VPNProtocol="ESP" EncryptionAlgorithm2="3DES"
AuthenticationAlgorithm2="MD5" EncapsulationMode="tunnel" PFS="None"
SALifeTime2Traffic="1843200" SALifeTime2Time="3600" DPDActive="No" />

Agradeceré cualquier comentario (y gracias de nuevo!!!)

Buenas @ClimberBear

Sí, efectivamente el problema mas gordo que tenía la b23 era que upnp estaba muerto, caput. Se lo habían cargado, y de echo pasó tiempo hasta la b26 donde quedó solucionado. A día de hoy en la b27 debería de funcionar bien, lo cual sería adecuado sobre todo para que el NAS abriese el mismo los puertos que necesitase, posiblemente sin necesidad de mapearlos de forma manual. Puedes comprobarlo, puedes habilitar upnp (que deberías de usar de todos modos), quitar los mapeos manuales y ver si el NAS los crea por upnp, en la interfaz web del Router creo recordar que hay un lugar donde aparecen los puertos mapeados por upnp.

Sobre la parte que te comentaba, como ves, los passthrough están habilitados, en tu caso todos excepto el ALG SIP, lo cual por lo general no es recomendable habilitarlo a menos que se usen proveedores VoIP quisquillosos, que no es el caso. Tanto IPSec como L2TP están habilitados y deberían de funcionar.

Respecto a la otra pregunta... sí y no. El HGW originalmente, y hablo de la versión b21 si no lo recuerdo mal (la actualización de la b14 a la b21) lo que en apariencia era la posibilidad de configurar el HGW no como servidor VPN tipo cliente-> Servidor, sino punto a punto. Este esquema es usado a día de hoy fundamentalmente para conectar dos redes separadas en entornos empresariales, pero a nivel doméstico nunca se usan estas redes vpn, sino que usamos el modelo cliente-servidor.

Pese a todo, no tengo claro que alguna vez hubiese sido funcional. En la b14 creo que era posible entrar de forma directa, en la b21 eliminaron casi todo pero era posible aun encontrar las webs si se sabía el enlace, y posteriormente se eliminó directamente.

Actualmente tenemos muchos rastros de ello, no solo en el archivo de configuración, aun están las webs de la interfaz, aunque invisibles:

cgi-bin\pages\security\ipsecVPN\ipsecVPN_general.html

cgi-bin\pages\security\ipsecVPN\ipsec_add.html

cgi-bin\pages\security\ipsecVPN\ipsec_rules_table.cgi

...

Por supuesto eso no quiere decir que sea posible configurarse, y tampoco para el uso que tu le darías 🙂

Hola, y gracias de nuevo 

El UPnP ha estado habilitado siempre. Por ejemplo, veo mis dos iPads conectados al puerto 4500 automáticamente (al contrario que en el otro post, a mí sí me funciona el Find my iPhone).

Lo que me falta por probar es activar el Full NAT. Cuándo se activa, se desactiva el mapeo manual de todos los puertos.

Lo haré para probar, pero no puedo dejarlo permanente, porque hay otro aplicativo que si no lo configuro manualmente, deja de funcionar.

Y de nuevo, gracias!!!

Buenas @ClimberBear

La opción de Full Cone no va a ayudarte en nada, lo lamento. El problema debe de estar en otro lado. Revisa el log del NAS y busca los problemas de conexión, a ver si arroja algo de más luz

Hola,

Hice una prueba única y no encontré nada en los logs.

Lo si que me pasa, y ya os lo comenté hace un mes o así, es que veo ráfagas de actualización DHCP que no sé que sentido tienen (se actualizan, sin cambiar IP, todos los dispositivos conectados). Esto no lo había investigado antes (no sé si es normal y lleva pasando siempre), porque una tarde empezaron a caerse las conexiones durante un par de días.

Para complementar las pruebas que he hecho hasta el momento:

- Activé el ALG (sin éxito). Lo dejé desactivado (de esto hablamos otro día, por si me ayudas con un sistema de videoconferencia que quiero montarme en casa).

- Desactivé el firewall. Sin cambio. Ahora está activado. Comprobado que al abrir los puertos, puso en Allow las reglas para el IPSec.

Sigo cacharreando (el poder conectarme desde fuera me ha salvado el **** un par de veces, y no quiero perder esta funcionalidad).

Gracias de nuevo.

Buenas @ClimberBear

El HGW siempre ha mostrado de forma relativamente períodica los mensajes en el registro de las peticiones DHCP, no recuerdo si en su día lo investigué o no, si sé que lo he visto de forma relativamente normal a lo largo del tiempo. Puede ser que sea porque el tiempo del lease haya terminado, o porque algo hace que se realice un poll a todos los host conectados para una renovación, que en realidad no cae la conexión,  renueva el tiempo de lease y poco más. Si me aburro le echo un ojo a ver que lo dispara.

Lo de la videoconferencia... otro día como dices, a ver que es lo que pasa.

Lo de VPN. Por desgracia es imposible probar cada configuración VPN, no solo ya por la gran variedad de servidores VPN que existen, también clientes, y la gran variedad de posibles configuraciones que tienen. Eso significa que para nada sería raro que fuese un problema decompatibilidad de cualquier clase, también simplemente de configuración, o de ... pero sin tener ahora mismo el mismo NAS en local para hacer comprobaciones es imposible.

Si te digo que no he tenido problemas con el HGW levantar servidores VPN y tampoco usar clientes, pero... en principio no hay motivos para pensar que no es posible, al menos en principio el Router está preparado para ello, el tráfico ESP está permitido, y los puertos deberían de estar abiertos. Si tengo tiempo de todos modos le quito el polvo y le echo un ojo a ver si internamente está todo en su sitio.

Muchas gracias de nuevo, en cualquier caso.

Mi problema es esto funcionaba y dejó de funcionar. Como siempre, puede ser algo que toqué yo, o algo que se cambió en las configuraciones.

Si te animas a probarlo, me dices y hacemos la prueba juntos. Mi servidor VPN ahora es un NAS Synology, pero para probar puedo montar en Ubuntu, Windows o Mac el software que me digas.